AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
公司
《網絡安全法》修改帶給我們哪些啟示,政企單位如何做好準備?
新華社北京9月14日電 為了做好網絡安全法與相關法律的銜接協調,完善法律責任制度,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益,國家網信辦會同相關部門起草了《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》并于14日公布,向社會公開征求意見。
《網絡安全法》修改的背景
1、自2017年施行《中華人民共和國網絡安全法》之后,《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》《關鍵信息基礎設施安全保護條例》等相繼施行,應做好《中華人民共和國網絡安全法》與新實施的法律之間銜接協調,完善法律責任制度,進一步保障網絡安全。
2、當前,全球網絡安全格局動蕩不安,大規模網絡攻擊頻頻發生,網絡安全已成為國家安全的重要因素,為此應該持續加強網絡頂層設計,加強網絡力量建設。
3、在數字化時代,伴隨著人工智能、大數據、云計算等信息技術的快速發展,產業數字化、數字產業化,網絡安全態勢也變得日益復雜,網絡安全面臨新形勢;同時數據作為生產要素,呈現爆發式增長,需要進一步關注數據安全。
修改的主要內容
1、完善違反網絡運行安全一般規定的法律責任制度。結合當前網絡運行安全法律制度實施情況,擬調整違反網絡運行安全保護義務或者導致危害網絡運行安全等后果的行為的行政處罰種類和幅度。
2、修改關鍵信息基礎設施安全保護的法律責任制度。關鍵信息基礎設施是經濟社會運行的神經中樞,為強化關鍵信息基礎設施安全保護責任,進一步完善關鍵信息基礎設施運營者有關違法行為行政處罰規定。
3、調整網絡信息安全法律責任制度。適應網絡信息安全工作實際,對違反網絡信息安全義務行為的法律責任進行整合,調整了行政處罰幅度和從業禁止措施,新增對法律、行政法規沒有規定的有關違法行為的法律責任規定。
4、修改個人信息保護法律責任制度。鑒于個人信息保護法規定了全面的個人信息保護法律責任制度,擬將原有關個人信息保護的法律責任修改為轉致性規定。
要點解讀
處罰力度提高,企業違法成本加重
1、發生網絡運行安全保護義務或者導致危害網絡運行安全等后果的,除原要求的責令改正、警告外,增加通報批評。
2、拒不改正或情節嚴重的罰款上限提高。由1萬-10萬或5萬-50萬提高到100萬以下。
3、拒不改正或情節嚴重的可暫停業務、關停網站、吊銷營業執照等。違反21條、第22條第1款和第2款、第23條、第25條、第28條、第33條、第34條、第36條、第38條的,新增可并處責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
新增情節特別嚴重的罰則,罰款金額加大,責任到人
1、單位高額罰款。單位罰金新增5000萬元以下或上一年度營業額5%以下這一標準,與《個人信息保護法》保持一致。
2、負責人罰款+禁業。新增負責人禁業,禁止擔任董監高和安全類關鍵崗位。
法律條款合并,實現協調統一,簡潔明了
1、《個人信息保護法》等法規對個人信息保護的罰則做了全面規定,此對不再規定具體的罰則,援引對應規定。
2、《數據安全法》中關鍵信息基礎設施運營者在境外存儲網絡數據或向境外提供網絡數據進行了相關規定,此處不再規定具體罰則,援引相關內容。
應對建議
安恒信息認為,面對《網絡安全法》修改的新要求、新形勢,政企單位應該做好以下準備:
? //??
1、要進一步轉變理念,“合法合規不越線”是從事一切活動的基本準則。政企單位尤其是企業在中華人民共和國境內建設、運營、維護和使用網絡,以及開展一切網絡安全業務都要自覺遵循《中華人民共和國網絡安全法》這一網絡安全領域里基礎性的法律。
2、政企單位要遴選和采購經安全審查過的網絡產品或者服務,負擔關鍵信息基礎設施主管和運營。關基單位應適應新時代安全態勢,堅持安全技術措施“三同步”理念,兼顧技術先進性原則,優先使用國產軟硬件產品,確保安全可控。
3、相關單位要著重加強本行業、本單位的數據安全防護,優先開展數據分類分級管理、敏感數據識別,梳理數據資產清單,加強數據交易和數據交換的全生命周期防護措施;涉及境外數據業務的單位要嚴格依照國家網信部門要求,依據《數據出境安全評估辦法》規定,按照國家互聯網信息辦公室發布《數據出境安全評估申報指南(第一版)》申報數據出境安全評估。
4、明確網絡安全第一責任人,從實戰化組建網絡安全團隊,至少包含決策層、管理層、執行層,同時明確責任分工,責任到人。
5、在落實信息安全等級保護制度之上,做好跨境數據的監管,數據安全能力建設,網絡安全數據安全兩手抓,實現網絡安全和數據安全的統一。
6、網絡安全建設不能單一再依賴于某一款或某幾款產品,而是與服務深度融合。安全建設的壓力轉變為對價值的追求,以安全結果為導向。
7、積極與主管部門、監管部門互動,在安全事件預警通報、檢查處置、應急響應場景加強與網信、公安部門協同。
8、開展常態化攻防演練活動,持續驗證網絡安全建設成果,通過演練查漏補缺,做到“平時多流汗,戰時少流淚”。
9、建立健全的網絡安全人才培訓深造和能力培養的配套機制,推動建立專業技術人才的聘用制度,培養一批既懂信息化又懂網絡安全技術、既懂業務又懂管理的“新技術人才”。
10、經費投入是規劃建設得以順利實施的重要保證,網絡安全建設在當前和今后一段時期的信息化建設中具有戰略性、基礎性、全局性地位,需要保證網絡安全建設的經費投入,進一步提高資金利用效率,完善項目審核制度,杜絕重復投入和重復建設,降低建設成本,做到業務與安全的平衡。
